타운광장토픽게시판

인터넷 커뮤니티 ‘더쿠’, 해킹으로 회원 개인정보 유출

라엘
조회 수 3357
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

https://www.boannews.com/media/view.asp?idx=119330&kind=&sub_kind=

 

6월 20일 개인정보 유출사실 공지... 아이디, 비밀번호, 이메일, 생년월일 등 5개 항목 중 일부
4월 말부터 디도스 공격, 브라우저 먹통... 19일, 캐시서버 공격으로 글 출력내용 바꿔치기도

 

1052118050_8097.jpg


[보안뉴스 김영명 기자] 인터넷 커뮤니티 더쿠(theqoo)에서 해킹으로 인한 개인정보 유출 사고가 발생했다. 더쿠는 20일 전체 공지를 통해 개인정보 유출을 안내했다. 지금까지 확인된 유출정보는 아이디, 비밀번호, 이메일, 생년월일 등 5개 항목 중 일부다.

 

더쿠는 올해 들어 다양한 웹 공격을 받아온 것으로 알려졌다. 5월 2일에는 공지를 통해 “며칠 전부터 지속적인 디도스 공격으로 인해 계속 504 오류 또는 502 오류가 뜨고 간헐적으로 접속이 안 되며, 짧게는 30초 미만에서 길게는 5분 가까이 접속이 불안정한 상황이 계속되고 있는 상태”라면서, “현재 디도스 공격으로 부터 사이트를 방어하기 위해 당분간 접속 브라우저 확인 문구 페이지가 몇 초간 나온 후 자동으로 더쿠에 접속되니 이해 바라며, 사이트 속도가 평소보다 느린점도 양해 바란다”라고 안내했다.

이어 6월 19일에는 ‘현재 사이트 상황에 대한 긴급 공지’라는 제목으로 “현재 사이트가 다양한 공격패턴으로 공격받고 있으며, 오늘은 캐시서버에 공격을 가해서 작성한 글의 내용을 다른 내용으로 바꿔치기하는 공격을 시도했다”라며, “일단 현 시점에서 개인정보 유출이나 회원정보가 유출된 것은 아닌 것으로 보인다”고 말했다.

아울러 “더쿠는 가입시 인증에 사용되는 휴대폰 번호나 주민등록번호 등을 저장하지 않으며, 개인 식별코드만 저장되기 때문에 개인정보 유출문제는 걱정하실 필요가 없다”라고 안내했다.

하지만, 6월 20일 오후 3시 23분에 더쿠는 ‘개인정보 유출에 대한 안내(생년월일 유출에 대한 사과문 추가)’라는 제목으로 사과문을 게시했다. 더쿠는 “사이트에 대한 해킹 공격으로 일부 정보가 유출되었음을 확인했다. 회원 여러분께 크나큰 피해를 입히게 된 점 진심으로 사과드린다”라는 사과 문구와 함께 현재 상황을 알렸다.

더쿠는 “과거에(4~5월경) 웹서버에 악성코드가 삽입돼 있었던 사실을 금일 추가로 확인했다. 이로 인해서 좀 더 심각한 데이터 유출이 있었을 가능성이 있다. 유출 가능성이 조금이라도 존재하는 데이터를 찾는데 여력을 기울이고 있다”라고 설명했다.

 

위로 아래로
댓글 16
  • profile

    의문의 방법을 통해 웹쉘에 당한것 같네요. KISA 에서 과징금 내라고 할텐데 얼마 나올지 궁금하네요.

    저희는 예전에 고객사 관리자 암호가 뚫려서, 공격자가 관리자페이지에서 회원정보 2천명 다운받아 갔는데, DB가 뚫린것도 아니고 유출필드도 많지 않았는데 500만원 내라고 나오더라구요.

  • profile profile

    XE 기반으로 운영되는 커뮤니티 중 회원 수와 인지도 모두 탑급인 사이트인데, 큰일이네요.

    웹서버에 악성코드가 삽입되어 있었다는 표현에서 저도 웹쉘이 의심되더군요. 실제로 XE, 그누보드, 워드프레스 등 CMS 종류와 무관하게 웹쉘이 상당히 흔하게 발견되는데, XE는 캐시파일을 다루는 부분에서 과거에도 RCE에 가까운 취약점이 발견된 적이 있고, 파일을 생성하거나 저장하는 기능이 있는 서드파티 자료도 공격 벡터로 자주 사용되는 것 같습니다. 잘 관리되지 않는 서드파티 자료가 문제라면 라이믹스 유저도 안전하지 않을 수 있어요.

    단, 캐시서버를 공격하여 페이지 내용을 변조할 수 있었다면 XSS나 CSRF도 가능했다고 봐야겠지요. 웹쉘은 DB를 통째로 퍼갈 수 있고, XSS나 CSRF는 방문자들의 개인정보를 하나씩 수집해야 한다는 차이가 있을 뿐...

  • profile profile
    캐시파일과 웹쉘에 동일한 퍼미션이 할당될 것이기 때문에, 응답변조, XSS, DB덤프를 포함한 모든 작업이 가능했을거에요. 결과적으로는 다 털린것 같은데, 안타깝네요.
  • profile profile

    보안은 아무리 강조해도 지나치지 않는 것 같습니다.
    기진곰님의 자세한 설명으로 또 많이 배우게 됩니다. 감사합니다.

    근데, "잘 관리되지 않는 서드파티 자료"들은 어느 부분을 확인해서 조치(및 관리)해야 될런지요?

    (초보라 너무 막연한 질문인 듯 합니다ㅠㅠ 죄송요)

  • profile profile

    제작자분이 최근까지 활발하게 활동하고 계시지 않은 자료라면 모두 불안합니다만, 이런 기준으로는 커뮤니티에서 인기 있는 자료들이 대부분 해당될 테고... "최신 라이믹스 + PHP 7.4 이상에서 사용하기 위해 BaseObject 변환이나 이런저런 수정이 필요한 자료"로 범위를 좁혀 보지요. 수정 없이 최신 환경에서 잘 돌아가는 자료라면 코드 퀄리티가 괜찮을 가능성이 높으니까요.

    그 중에서 소스에 SQL문이 그대로 박혀 있거나, 모듈 구조를 따르지 않고 별도로 호출하는 php 파일이 있거나, 무엇보다도 파일을 다루는 기능(이미지 업로드, 파일 변환, 캐시파일이나 임시파일 생성 등)이 있는 자료를 집중적으로 살펴보는 것이 좋습니다. SQL은 바인딩 방식으로 바꾸면 해결되는데, 파일 작업은 전문가가 꼼꼼하게 살펴보지 않으면 취약점 확인이 무척 어렵습니다. ㅠㅠ

  • profile profile
    아 감사드립니다. 역시 공부 공부 밖에 없군요~~
    조언주신 내용들 유념해가면서 하나씩 확인하고 익혀가봐야겠습니다^^
  • profile ?
    웃기네요.
  • profile

    아직도 XE를 사용하는 것으로 보이는 데, 따로 보안패치를 하지 않은 채 방치해뒀으면(...!!)

  • profile ?
    라이믹스는 안전할까요?
  • ? profile
    "그누보드, 워드프레스는 안전할까요?"와 같습니다. 모든 프로그램은 아직 알려지지 않은 취약점을 가지고 있습니다.
  • profile ?
    네. 걱정이 되네요
  • profile
    https://xetown.com/topics/1698269

    당장 마지막버전에서 알려진 취약점만 4개인데 그마저 커스텀등으로 최신버전이 아니였다면 더욱 취약했겠네요. 특히 서드파티 자료들은 유지보수가 끊긴것도 그대로 썼을 가능성이 큰데 그중에 취약점이 있었던것으로 보입니다.
  • profile
    와 DB를 다 탈취당했나보네요. 무섭네요.
    암호말고도 다른정보도 다 암호화 할 수 있으면 좋겠네요.
  • profile
    xe1 공식사이트 포럼도 스팸글로 도배가 되어있네요.
    https://xe1.xpressengine.com/forum
  • profile profile
    공식사이트는 그냥 XE팀이 관리를 안해서 그런겁니다. 아주아주가끔씩 지우긴하는데 지우는 빈도가 거의 한달에 한번꼴같네요
  • ?
    광고비로 쏠쏠하게 벌어들였을텐데 xe를 사용중인데다가 제대로 된 꾸준한 보안패치를 안했을 가능성이 높네요. (한국 커뮤니티 5위안에 드는 사이트인데... 한마디로 돈아낌) 제가 알기론 저 사이트에서 이미 꽤 오래전부터 DB 공격당하고 있었고 운영팀도 인지를 한거로 알고 있었는데 결국 터질게 터져버린 상황인듯 합니다.